De detailhandel onder vuur: Zou u een datalek opmerken als het nu zou gebeuren?

Retailers en hun leveranciers hebben het momenteel moeilijk in het Verenigd Koninkrijk. Een reeks grote beveiligingsinbreuken, gelinkt aan ransomware, heeft geleid tot lege schappen, schade aan de reputatie van bedrijven en een kelderende aandelenkoers. Deze incidenten dienen ook als een waarschuwing dat aanvallers nog steeds sneller te werk gaan dan verdedigers. En dat te veel organisaties compliance nog steeds als een retrospectieve oefening beschouwen.

Om weer voorop te lopen, moeten Britse retailers en hun concurrenten in andere sectoren compliance en risicomanagement gaan beschouwen als een dynamische, real-time aangelegenheid.

Retail-aanvallen benadrukken de voordelen van hackers

Vier datalekken hebben de retail- en logistieke sector de afgelopen weken opgeschrikt. Dit is wat we tot nu toe weten en wat de impact is op elk slachtoffer.

Merken & Spencer: De trouwe winkelketen onthulde op 21 april nieuws over een "incident". Dit liep al snel uit de hand en het bedrijf moest contactloze betalingen, Click & Collect en online bestellingen opschorten. Ook in sommige winkels liepen de voorraden op na het incident trof logistieke knooppunten.M&S zegt nu Er zijn klantgegevens gestolen. Het bedrijf zou £40 miljoen aan omzet per week verliezen, terwijl de aandelenkoers met 12% is gedaald (per 19 mei).

Rapporten suggereren dat geavanceerde cybercriminelen die banden hebben met het losbandige collectief “Scattered Spider” een aantal VMware ESXi-hosts van het bedrijf hebben versleuteld met de DragonForce-ransomwarevariant. Er wordt beweerd dat een gecompromitteerde derde partij (Tata Consulting Services) met inloggegevens voor hun systemen mogelijk de eerste toegangspoort was. De aanvallers hebben met deze aanval mogelijk meer schade kunnen aanrichten, omdat ze vlak voor het lange paasweekend toesloegen.

Coöperatie: Dezelfde dreigingsactoren achter de inval bij M&S zijn verantwoordelijkheid opeisen voor een ransomware-aanval op de zevende grootste retailer van het Verenigd Koninkrijk. Ze zeggen dat het bedrijf de stekker eruit trok toen het ongebruikelijke netwerkactiviteit detecteerde, waardoor ze geen ransomware konden inzetten, maar niet op tijd om te voorkomen dat ze belangrijke gegevens konden exfiltreren. volumes aan ledengegevensOok de voorraadniveaus in sommige winkels zijn getroffen. Het is onduidelijk wat de financiële impact op het bedrijf zal zijn, maar de nieuwe IT-beveiligingsinfrastructuur, incidentrespons en herstelprocessen zullen waarschijnlijk in de miljoenen ponden lopen.

Harrods: Het iconische warenhuis Knightsbridge hield zijn lippen stijf op elkaar over een aanval die het op 1 mei onthulde. Het beweert een poging tot ongeautoriseerde toegang te hebben ontdekt en gestopt. "Ons ervaren IT-beveiligingsteam heeft onmiddellijk proactieve maatregelen genomen om de systemen te beveiligen, en als gevolg daarvan hebben we vandaag de internettoegang op onze locaties beperkt", aldus een verklaring. De aanval lijkt geen gevolgen te hebben gehad voor de online of fysieke winkels.

Peter Green Chilled: De laatste naam die aan deze lijst met slachtoffers van cyberaanvallen wordt toegevoegd, is een weinig bekende logistieke partner voor Tesco, Sainsbury's, Aldi en andere supermarkten. De ransomware-aanval vond plaats in de week van 12 mei, maar het bedrijf zegt dat "de transportactiviteiten van het bedrijf onaangetast zijn gebleven". Als leveringen zouden worden beïnvloed, zou dat kostbaar kunnen zijn voor leveranciers, aangezien het bedrijf logistieke diensten voor koelopslag aanbiedt.

Hoe kunnen retailers een soortgelijk lot vermijden?

Britse retailers zijn niet de enigen. De Franse modegigant Dior heeft Aziatische klanten op de hoogte gebracht van een datalek, terwijl Google beweert dat Scattered Spider-actoren ook gericht op Amerikaanse retailersDat maakt alle geleerde lessen belangrijk voor CISO's wereldwijd. Dus, wat kunnen we zeggen over de incidenten?

Hoewel we in de meeste gevallen de specifieke modus operandi van ransomware nog steeds niet kennen, kunnen we wel stellen dat best practices voor cyberhygiëne, hoewel belangrijk, geen wondermiddel zijn. Ja, zaken als snelle patching, multi-factor authenticatie (MFA) en asset management zijn essentieel om het aanvalsoppervlak te minimaliseren. Maar er zal altijd een manier zijn voor vastberaden cybercriminelen om hun doelen te bereiken.

Dit maakt continue AI-gestuurde netwerkmonitoring essentieel. Deze tools leren hoe 'normale' verkeerspatronen eruitzien, waardoor ze effectiever alarm kunnen slaan wanneer er iets in het netwerk niet klopt. Dit betekent dat Security Operations (SecOps)-teams sneller kunnen reageren om bedreigingen uit te schakelen voordat ze zich kunnen verspreiden en/of voordat gegevens kunnen worden geëxfiltreerd en versleuteld.

Geautomatiseerde tools voor risicobeoordeling zijn een andere waardevolle aanvulling. Ze stellen bedrijven in staat hun IT-omgeving continu te monitoren om ongepatchte kwetsbaarheden, verkeerde configuraties of andere beveiligingslekken te detecteren die moeten worden aangepakt. Ze houden rekening met het feit dat dergelijke omgevingen voortdurend in beweging zijn – vooral in de cloud – en daarom continue aandacht vereisen. Dit maakt de organisatie veerkrachtiger en sluit mogelijke aanvalsmogelijkheden af. Maar nogmaals, dit is iets wat alleen AI en automatisering effectief kunnen doen, 24/7/365.

"Cybersecuritybescherming is geen eindpunt, maar een continu proces. Dreigingsactoren evolueren voortdurend, en dat geldt ook voor onze beveiligingshouding", vertelt Darren Williams, CEO van BlackFog, aan ISMS.online. "Daarom is het belangrijk om bij het bekijken van nieuwe tools te focussen op AI-bescherming op basis van machine learning, naast de meer statische en op handtekeningen gebaseerde benaderingen die de meeste tools gebruiken."

Een dynamische aanpak van compliance

In bredere zin benadrukken de inbreuken bij Britse retailers opnieuw dat naleving van best practices en regelgeving voor veel organisaties vaak te reactief is. Traditionele systemen voor informatiebeveiligingsbeheer (ISMS) zijn bijvoorbeeld gebaseerd op point-in-time-beoordelingen die zich niet aanpassen aan nieuwe bedrijfsmodellen, bedreigingen en technologieën zoals cloud en IoT, waardoor het aanvalsoppervlak groter kan worden.

"De realiteit is dat beveiligingsteams 100% van de tijd effectief moeten zijn en dat cybercriminelen maar één keer succesvol hoeven te zijn", vertelt Dave McGrail, hoofd bedrijfsadvies bij Xalient, aan ISMS.online. "Deze onevenwichtigheid onderstreept de noodzaak van een dynamischere, adaptieve aanpak van cybersecuritycompliance en ISMS-beheer."

Dit is precies wat ISO 27001:2022 aanmoedigt door een proces van voortdurende verbetering van het ISMS, dynamische risicomodellering en adaptief risicomanagement.

"Naarmate bedreigingen veranderen, moeten onze verdedigingsmechanismen ook veranderen. De ISO 2022-update van 27001 ondersteunt deze verschuiving door regelmatigere risicobeoordelingen aan te moedigen, actuele informatie over bedreigingen te integreren en bewustzijn in de hele organisatie te bevorderen", vertelt Neil Lappage, oprichter van 59 Degrees North, aan ISMS.online.

Het gaat er niet om meer te doen zonder meer. Het gaat erom dingen anders te doen, bewustwording te integreren in onboarding, te heroverwegen wat 'veilig' betekent in de dagelijkse praktijk en mensen de tools en het vertrouwen te geven om ongebruikelijke verzoeken te beoordelen. Technologie helpt, maar het zijn mensen die het grootste verschil maken, vooral wanneer ze geïnformeerd, ondersteund en betrokken worden bij het grotere geheel. Cybersecurity is niet zomaar een systeem; het is een cultuur, en dat is iets wat we allemaal samen opbouwen.